[[425001]]

編者注：今年早些時(shí)候，出現(xiàn)了一個(gè)名為“Marketo”并將自身定位為“被盜”數(shù)據(jù)市場運(yùn)營商的網(wǎng)站。盡管Marketo并非勒索軟件組織，但其關(guān)鍵策略卻似乎與之相似。據(jù)悉，其運(yùn)營模式十分簡單，首先，站點(diǎn)管理員列出即將成為受害者的清單，然后附上各種證據(jù)(通常是可下載的小型文檔)。如果受害企業(yè)不與黑客合作，則后者將在該站點(diǎn)上泄露這些數(shù)據(jù)，以免費(fèi)下載的方式提供或僅向VIP會(huì)員開放。

8月下旬，該組織對外宣稱，它正在出售日本科技公司富士通的機(jī)密數(shù)據(jù);本月早些時(shí)候，有報(bào)道稱，從弗吉尼亞軍事事務(wù)部竊取的數(shù)據(jù)也可以在該網(wǎng)站上購買。但該組織的勒索行為卻要比許多勒索軟件運(yùn)營商更激進(jìn)——據(jù)悉，他們會(huì)聯(lián)系受害者的競爭對手和執(zhí)法部門，迫使受害組織支付數(shù)據(jù)費(fèi)用。

盡管尚不清楚Marketo是如何融入更廣泛的網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)的，但Recorded Future的Insikt Group最近發(fā)現(xiàn)，在Conti勒索軟件勒索博客和Marketo網(wǎng)站上都公布了同一個(gè)受害者——Conti勒索軟件團(tuán)伙采取與Marketo不同的方式(可能包括將數(shù)據(jù)出售給出價(jià)最高的人)威脅受害者以實(shí)現(xiàn)被盜數(shù)據(jù)貨幣化。

Recorded Future威脅情報(bào)分析師Dmitry Smilyanets本月與Marketo的一名代表，就該組織的策略和違法方式進(jìn)行了交談。完整采訪內(nèi)容如下：

Dmitry Smilyanets(以下簡稱DS)：您將Marketo定位為泄露數(shù)據(jù)市場運(yùn)營商，那么您與經(jīng)營勒索博客網(wǎng)站的多個(gè)勒索軟件家族有何不同?

Mannus Gott(Marketo代表)：我們的根本區(qū)別在于我們不是勒索軟件組織。此外，我們是該行業(yè)中第一個(gè)以“拒絕勒索軟件，接受審計(jì)”原則開展工作的人。除了追逐利益之外，我們還受到所謂的“真正的黑客”——尋求知識、不尋常的舉動(dòng)和策略，尋求優(yōu)雅的解決方案，推進(jìn)技術(shù)進(jìn)步以及發(fā)展信息安全領(lǐng)域——等因素驅(qū)動(dòng)。在我們的活動(dòng)中，除了利潤和士氣外，我們還在尋求知識和保護(hù)人們的數(shù)據(jù)——人們將自己的數(shù)據(jù)托付給信任的大型企業(yè)，而它們卻不惜一切代價(jià)地利用這些數(shù)據(jù)盈利，沒有真正地保護(hù)它們。

我們是為了數(shù)據(jù)的安全，并提醒人們關(guān)注數(shù)據(jù)安全，盡管方式比較激進(jìn)。這一切都能夠在我們的清單，我們的規(guī)則和行動(dòng)中體現(xiàn)出來。和媒體一樣，我們是第一個(gè)創(chuàng)建官方代表的組織。順便說一句，其他受保護(hù)網(wǎng)絡(luò)(如ZeroNet、FreeNet、Mastodon等)很快也會(huì)有官方代表。

DS：研究人員將您與網(wǎng)絡(luò)勒索的先驅(qū)TheDarkOverlord進(jìn)行了比較。您與他們存在任何關(guān)系嗎?

Marketo：我們知道該組織的行為，所以也為此感到受寵若驚。然而，我們與他們沒有共同之處，我們彼此也不認(rèn)識。事實(shí)上，也許有一天我們會(huì)見面。但你永遠(yuǎn)不會(huì)知道。

DS：您參與網(wǎng)絡(luò)犯罪時(shí)多大?您自己是黑客嗎?

Marketo：這是一個(gè)有趣的問題。不過，我不能告訴你我的年齡，也不能告訴你我加入Marketo的日期，這可能會(huì)暴露我的身份。與一個(gè)戴著面具的人交談不是會(huì)更有意思嗎。而且，你是如何定義“黑客”的?這個(gè)詞的本意意味著尋找最佳的、不尋常的解決方案，這代表著技術(shù)創(chuàng)造力。

黑客不一定是罪犯，但罪犯可以是黑客，只是這樣的罪犯應(yīng)該被稱為“駭客”。黑客是具有黑客精神、學(xué)習(xí)精神和IT行業(yè)風(fēng)采的人。那么是的，我是一名黑客，但這并不意味著我個(gè)人參與了攻擊或其他事情。我可以成為媒體的代言人，我可以參與攻擊，或者我什么也做不了——但我會(huì)繼續(xù)做一個(gè)黑客。所以讓我們使用正確的命名法，你同意嗎?

DS：Marketo是一群人，還是你一個(gè)人經(jīng)營?您是否運(yùn)營博客并出售被第三方黑客竊取的數(shù)據(jù)?

Marketo：回到“匿名性”問題上，我可以確認(rèn)自己不能透露我們組織的結(jié)構(gòu)。正如您所說，我們是該領(lǐng)域的先驅(qū)。也正如我之前所說，我們——意味著我們是一群人。此外，Marketo不是博客，而是一個(gè)市場。數(shù)據(jù)的購買者絕對可以是任何人。不過，我們的首要任務(wù)始終是受害者。

DS：您提到幾個(gè)聯(lián)邦機(jī)構(gòu)是您的“合作伙伴”。這種伙伴關(guān)系是什么樣的?為什么不提聯(lián)邦調(diào)查局(FBI)?

Marketo：所謂“合作伙伴”其實(shí)就是我們每周都會(huì)為其提供被黑企業(yè)報(bào)告的人。這些報(bào)告中的每一個(gè)都是決定不與我們合作的企業(yè)。我們也由此判斷它們是不關(guān)心員工、客戶、運(yùn)營商和合作伙伴數(shù)據(jù)安全的企業(yè)，并對其進(jìn)行“懲罰”。雖然我們知道自己本意是在推動(dòng)數(shù)據(jù)安全進(jìn)展，但總有一天我們會(huì)為此付出代價(jià)。順便說一下，F(xiàn)BI也在我們的清單中。

DS：在您的行為準(zhǔn)則中，您表示不會(huì)發(fā)布或出售“關(guān)鍵數(shù)據(jù)”的某些部分。這些數(shù)據(jù)會(huì)如何處理?您最初為什么要?jiǎng)?chuàng)建該代碼?

Marketo：也許你誤解了我們的意思。正如我們在清單中所說，我們首先將數(shù)據(jù)出售給公司本身。如果公司不回購數(shù)據(jù)，則將其出售給愿意付費(fèi)的人。數(shù)據(jù)僅發(fā)送給買方，我們不會(huì)發(fā)布。當(dāng)組織不為我們的工作買單時(shí)，其余的關(guān)鍵數(shù)據(jù)(即未售出部分)將100%發(fā)布出去。這實(shí)際上是一種信息安全審計(jì)。而且部分?jǐn)?shù)據(jù)是立即作為證據(jù)發(fā)布的。這就是我們的工作方式。

我們創(chuàng)建清單本身是為了回答常見問題，并表明我們有原則，我們將在任何情況下遵循這些原則。我們的清單涵蓋了幾乎所有場景并展示了我們的行為。稍后我們將添加每個(gè)場景的證明和結(jié)果，例如商業(yè)報(bào)價(jià)，這樣每個(gè)人都會(huì)看到我們是如何工作的。當(dāng)然，前提是團(tuán)隊(duì)同意這樣做。我們支持透明化，我們提供服務(wù)，盡管是強(qiáng)制的。這就是我們的立場。

DS：您將一些泄密標(biāo)記為“絕密”。您如何處理這些數(shù)據(jù)?是否有任何被盜數(shù)據(jù)具有機(jī)密屬性?

Marketo：這個(gè)問題我們很有話語權(quán)。想象一下，在數(shù)據(jù)中有一個(gè)藍(lán)圖上面有一個(gè)標(biāo)記——它是秘密的，它是某個(gè)公司的財(cái)產(chǎn)并且不能透露給第三方，它是商業(yè)秘密。在這些情況下，數(shù)據(jù)將被標(biāo)記為絕密。

另一方面，即便藍(lán)圖沒有標(biāo)記機(jī)密狀態(tài)，我們也會(huì)分析數(shù)據(jù)并得出結(jié)論。例如，一家公司丟失了F-16 戰(zhàn)隼的機(jī)載電子數(shù)據(jù)和B-2精神轟炸機(jī)的硬翼藍(lán)圖。當(dāng)然，這是機(jī)密數(shù)據(jù)，我們從許多其他公司(同樣擁有機(jī)密數(shù)據(jù))處獲得了這些藍(lán)圖。

即便如此，這些公司還是無視我們的警告長達(dá)1-2個(gè)月，有些甚至口出不遜，甚至完全沒有考慮公民及其國家的安全。

DS：從四月份開始，您已經(jīng)賺了多少錢?您賣的最貴的數(shù)據(jù)是什么?

Marketo：很不幸，這個(gè)問題超出了我的權(quán)限，也違反了我們的保密政策。我們不是IT公司，也不發(fā)布財(cái)務(wù)報(bào)告。此外，我們向所有公司保證協(xié)商的隱私性并協(xié)議銷毀數(shù)據(jù)。

DS：您稱DarkSide及其聲明“令人作嘔”，因?yàn)?ldquo;他們應(yīng)該知道自己在做什么”。那您呢?您如何從法律角度看待自己?

Marketo：您誤解了我的意思。我們沒有說他們惡心，但他們的行為確實(shí)是。而且有一個(gè)簡單的原因：他們攻擊關(guān)鍵基礎(chǔ)設(shè)施，這可能會(huì)導(dǎo)致饑餓、騷亂甚至內(nèi)戰(zhàn)。我們不支持此類行為。我們的目標(biāo)是發(fā)展各國的經(jīng)濟(jì)，迫使他們投資于信息安全，將其提升到一個(gè)新的水平。對公司亦是如此。我們對破壞任何縣的經(jīng)濟(jì)不感興趣，我們不追求任何政治事業(yè)。是的，我們的行為確實(shí)違法，但我們從不交易人命。

DS：您只是出于經(jīng)濟(jì)動(dòng)機(jī)還是這次行動(dòng)有政治/黑客行為主義的一面?

Marketo：我想我已經(jīng)明確表示我們有原則，我們支持黑客的原始含義，但我們不追求任何政治原因。

DS：你如何選擇攻擊目標(biāo)?

Marketo：這是商業(yè)機(jī)密——我不能透露。

DS：您在其他地方看到過最有趣的泄密事件是什么?您的靈感是什么?

Marketo：很難選出最有趣的。我在之前的答案中幾乎涵蓋了最令人震驚的案例。他們可能是最有趣的。我的靈感——學(xué)習(xí)新東西。尋求知識、優(yōu)雅且簡單的解決方案。

DS：為什么大多數(shù)受害者都在美國?為什么亞洲、南美洲等區(qū)域幾乎沒有?

Marketo：美國似乎是有前途發(fā)展信息安全的一個(gè)國家。其具備敏捷的法律體系、快速的決策、全球知名的技術(shù)開發(fā)中心。而且，互聯(lián)網(wǎng)是由美國國防部及其ARPANET項(xiàng)目誕生的。但這并不意味著我們不會(huì)針對世界各地的其他目標(biāo)。這只不過是一個(gè)巧合。在美國，人們喜歡投保而不是防御，僅此而已。

DS：告訴我一個(gè)秘密，您的下一個(gè)目標(biāo)是誰?

Marketo：您可以查看我們網(wǎng)站上的橫幅廣告。其他的不能多說，不然就沒這么有趣了，對吧?